one's way > セキュリティ > 【セキュリティ】IntelCPU等の脆弱性問題のまとめ(「Meltdown(メルトダウン)」と「Spectre(スペクター)」) 【セキュリティ】IntelCPU等の脆弱性問題のまとめ(「Meltdown(メルトダウン)」と「Spectre(スペクター)」) セキュリティ 2018年01月04日 最終更新日:2018/03/04 新年早々Yahooのトップを飾ってしまったので、情シス部門の方々はお祭り騒ぎになりそうですね。(という私も同業者です。。) まだ情報も錯綜しているようですが、IntelCPU等の脆弱性「Meltdown(メルトダウン)」と「Spectre(スペクター)」に対しての個人的に纏めた備忘録です。 タイトルがIntelCPU等となっていますが、MeltdownはIntelCPUのみですが、Spectreはそれ以外(AMD,ARM等)のCPU等も対象です。 あくまでも業務には関連しますが(個人的な)’まとめですので、利用は自己責任でお願いします。 1.脆弱性の種類 Meltdown(メルトダウン)」と「Spectre(スペクター)」 参考サイト:Meltdown and Spectre 詳細説明 :Google Project Zero ●Meltdown ・Variant3(CVE-2017-5754):不正なデータキャッシュ読み込み 日本語Wiki:Meltdown ●Spectre ・Variant1(CVE-2017-5753):配列の境界チェックバイパス ・Variant2(CVE-2017-5715):分岐ターゲットインジェクション 日本語Wiki:Spectre 2.対象 ●Meltdown ・Intel製CPUのみ(※1995年以降のCPU) ●Spectre ・Intel・AMD・ARMなどのすべてのプロセッサが対象 又、PC(含むサーバー)だけで無く、AndroidやiOS、仮装化環境(VM,Xen等)等も含む 3.脆弱性の概要 脆弱性を利用し、機密情報にアクセス可能 具体的には次の通り ●Meltdown アプリケーションが任意のシステムメモリにアクセスできないようにする仕組みを破壊し、 アクセス可能にする。 ●Spectre 他のアプリケーションから自分のメモリ内の任意の場所にアクセスするように仕向け、その内容を参照可能にする。 ※2018/02/05 情報追加 とうとうMeltdownやSpectreの脆弱性を利用したマルウェアが出回り始めたそうです。 ・参考「Spectre/Meltdown脆弱性を利用したマルウェアが発見(PCWatch)」 ハードウェア各社もまだ対応中ですので、怪しいメール等のリンクは踏まない様にしないといけないですね。 又、ウイルス対策ソフト各社の状況等の確認も必要と思われます。 4.各社対応情報 4-1.ハードウェアメーカ各社 ※AppleはOSメーカ側で記述 ※※詳細機種については、各メーカの情報を参照(BIOS等の為) 1)Intel ・Intel Responds to Security Research Findings ※※2018/02/22 追記 「IntelがSkylake向けのSpectre脆弱性対策マイクロコードの提供開始(PCWatch)」との事 概要は「OEM顧客およびパートナーに対し、Skylakeプラットフォーム向けの修正マイクロコードの提供を開始した。」との事ですが、システムに適用するにはまだ時間が掛かりそうですね。 尚、上記記事で気になったのが、第3世代(Ivy)以前のCPUは提供対象外だった(と思う)のですが、第2世代(Sunday)まで広げた様で、Bataテストまで実施済みとの事。 詳細は、以下のPDFを参照願います。 ・microcode revision guidance February 20 2018 但し、サーバ系は兎も角、クライアント系PCも修正BIOSを出してくれるかは各メーカ次第ですが・・・ 2)AMD ・An Update on AMD Processor Security 3)ARM ・Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism 4)NVIDIA ・NVIDIA's response to speculative side channels CVE-2017-5753, CVE-2017-5715, and CVE-2017-575 5)Dell※※ ・Microprocessor Side-Channel Vulnerabilities (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754): Impact on Dell products 6)Lenovo※※ ・サイドチャネルを使った特権メモリの読み取り(LEN-18282) 7)富士通※※ ・JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」について 8)NEC※※ ・プロセッサの脆弱性(サイドチャネル攻撃)への対応について ※1月17日までを目処に情報更新予定との事 →一部情報が追加されました。※2018/01/18追加 ・ノートPC タブレットPC VersaPro ・デスクトップPC Mate 4-2.OSメーカ各社 重要)※2018/01/09 追記 AMDのCPUにWinodows(Microsoft)のセキュリティ更新プログラムを適用したところ、再起動時にOSが起動しなくなる不具合が報告されています。 2018/01/18 追記 AMDのCPUにWindowsの更新プログラムを適応したところ、再起動時にOSが起動しなくなる不具合ですが、KB4073290で対策された模様です。 ・Unbootable state for AMD devices in Windows 10 Version 1709 但し、前回やらかしているので、適用には十分注意した方が良いかも知れません。 2018/01/23 追記 1)Intel製CPUでも再起動を繰り返す不具合がありました。 ・Intel、脆弱性対処でHaswell/Broadwellシステムが予期せぬ再起動をする原因を特定(PC Watch) 記事によれば、Haswell(第4世代)およびBroadwell(第5世代)CPUとの事ですが、私のVersaPro(VK26M/B-F)も似たような事象が発生しています。 来週には対策済みのパッチが出るそうですが、どうでしょうかね? 2018/01/30 追記 Microsoftが不具合を修正したパッチを公開した模様です。 ・対象:Windows7(SP1)以降 ・Update to disable mitigation against Spectre, Variant 2 ・Microsoft Update カタログ(KB4078130) 尚、このパッチは第4世代(Haswell)以降のCPUでBIOSアップデートしたシステムのみが対象の様です。 3度目の正直で大丈夫だと良いのですがね・・・ 2)MicrosoftのTechnetで本件に関する情報が纏められていました。 ・CPU の脆弱性の問題(Meltdown/Spectre)関連情報について ○Microsoftからの情報(AMD関係の不具合情報) ・Windows operating system security update block for some AMD based devices ・After installation of KB4056892 boot failure, after roll-back error 0x800f0845 ・STOP: 0x000000C4 after installing KB4056894 - 2018-01 Security Monthly Quality Rollup for WIndows 7 for x64 AMDのCPUを使用しているPC等を使用している場合は、上記内容を確認の上、該当パッチの適用とセキュリティリスクを十分考慮・判断して対応する事を推奨します。 尚、マイクロソフトからAMDのCPU機器には該当パッチの配信について一時中断されています。 2018/03/04 追記 MicrosoftがSpectre(Variant2)向けの対策パッチ(KB4090007)をMicrosoft Updateで公開しました。 但し、「Intel Skylake(第6世代) CPU」用です。 対象:Windows 10 Ver 1709(Fall Creators Update) Windows Server Ver1709(Server Core) ○Microsoft Update Windows 10 Version 1709 用の累積的な更新プログラム(KB4090007) ○TenForums(説明) KB4090007 Intel microcode Cumulative Update for Windows 10 v1709 1)Windows(Microsoft) ・セキュリティ更新プログラムを提供 但しWindows10が先で、旧OS(Windows7や8等)は後回しの可能性がある サーバーOSは別途確認 →2018/01/05 提供開始 ※2018/01/05追記、2018/01/06修正 緩和策として、対Meltdown用セキュリティパッチ(KB4054517等)が公開 具体的にはEdgeとInternet Explorer 11を修正し、脆弱性を利用してPCのメモリからデータを盗み取ることを困難にさせる等の対策 ○Windows Update Catalog(Windows7/Server 2008系) ※ServerOSはR2のみ ※Windows Updateでも可能にする予定? ※2018/01/05 22:30時点で、Windows Updateに対象KBは無し Windows Update Catalog(KB4056897) ○Windows Update Catalog(Windows8.1/Server 2012系) ※ServerOSはR2のみ ※Windows Updateは2018/01/10頃 Windows Update Catalog(KB4056898) ○Windows Update Catalog(Windows10/Server 2016系) ※バージョンによって対象が異なる ※Windows Updateでも可能 ※2018/01/05 22:30時点で、Windows Updateに対象KBを確認(KB4056892のみ) 尚、Fall Creators Update(バージョン 1709)のみWindows Catalog(WC)にはパッチが2つある ・Fall Creators Update(バージョン 1709) ※2017年10月 情報:January 3, 2018—KB4056892 (OS Build 16299.192) WC:KB4056892 情報:KB4058702のMicorosoftの公式発表は確認中 WC:KB4058702 ・Creators Update(バージョン 1703) ※2017年4月 情報:January 3, 2018—KB4056891 (OS Build 15063.850) WC:KB4056891 ・Anniversary Update(バージョン 1607) ※2016年8月 情報:January 3, 2018—KB4056890 (OS Build 14393.2007) WC:KB4056890 ・Windows 10 November update(バージョン 1511) ※2015年11月 情報:January 3, 2018—KB4056888 (OS Build 10586.1356) WC:KB4056888 ※ Windows 10 Enterprise and Windows 10 Educationのみ適用可能で、 Windows 10 Pro or Windows 10 Home editionsには適用不可? ・Windows 10 (バージョン 1507) ※2015年07月 情報:January 3, 2018—KB4056893 (OS Build 10240.17738) WC:KB4056893 ・Microsoft Server系の情報 投機実行サイド チャネル上の脆弱性から保護するための Windows Server ガイダンス 上記の内容は、脆弱性の状態をPowerShellで確認する方法である。 ※但し、実施には次の条件が必要 ・PowerShellのVersionが5.0以上である事(PowerShellGetコマンドの関係) 但し、Version3.0系以上でもモジュールを追加すれば出来なくはない? 標準でVersion5.0以上のものは、Windows10/Server 2016系のみなので、 使用するには、モジュールの追加やバージョンを上げる等の処置が必要がある 参考:PowerShellGet モジュールの取得 更に措置については、関連コンポーネント(SPや.NET Framework等)のバージョンも上げる必要がある。(バージョンアップの為の前提条件) ・OS別PowerShellのバージョン(標準) Windows7/Server 2008(R2):V2.0 Windows8.1/Server 2012 :V4.0 Windows10/Server 2016 :V5.0 ・Power Shell Version確認コマンド(PowerShell上から) 「$PSVersionTable」又は「$Host」 →上記の内容から、現時点では確認だけの為に複数のコンポーネントの追加導入やバージョンアップをするまでには至らない可能性が大(新たなリスク回避の為) 万が一実施するならば、稼動内容に影響が無い様に検証する必要がある。 ※2018/01/14追記 当方の環境(Windows7 Pro 64bit)で、”KB4056894”を適用したところ、適用に失敗する事象を確認しました。 この件については、別記事でまとめましたのでそちらをご確認下さい。 ・【セキュリティ】Windows7(64Bit)でKB4056894の更新に失敗する 正式名:2018-01 x64ベースシステム用 Windows7向けセキュリティマンスリー品質ロールアップ(KB4056894) 2)Linux(Red Hat、Debian、Ubuntu、SUSE、Fedora等) ・Meltdown:CVE-2017-5754 CVE-2017-5754 - Red Hat Customer Portal ・Spectre :CVE-2017-5753,CVE-2017-5715 CVE-2017-5753 - Red Hat Customer Portal CVE-2017-5715 - Red Hat Customer Portal 3)Android (+Crome等Google関連) ○Android 最新セキュリティパッチの状態であれば問題ない ・Android Security Bulletin—January 2018 ○Crome 最新のVer 63で対応済み Google関連の統合情報は以下を参照 ・Google’s Mitigations Against CPU Speculative Execution Attack Methods 4)仮装化環境(ホストOS) VMWare(ESX)、Xen、Citrix等も影響がある ○VMWare(ESX) ・VMware Security Advisories(VMSA-2018-0004) vCenter Server、ESXi5.5~6.5、Workstation、Fusion等 ※「CVE-2017-5715」系で詳細は上記リンクを参照 ※「VMSA-2018-0004」がリンクはそのままで「VMSA-2018-0004.2」に更新されています。(※2018/01/14 情報追加) 概要は、ESXi(5.5~6.5)系で一部のインテルCPU(第4世代Haswell、第5世代Broadwellや一部のxeonプロセッサー)の(マイクロコード)パッチが、「VMSA-2018-0004」で追加したものが悪さをする様です。 詳細は、以下にKB(52345)が発行されていますので確認下さい。 ・Intel Sightings in ESXi Bundled Microcode Patches for VMSA-2018-0004 (52345) ・VMware Security Advisories(VMSA-2018-0002) ESXi(V5.5) →「CVE-2017-5715」のみ対応 ESXi(V6.0、V6.5) →「CVE-2017-5753」「CVE-2017-5715」へ対応 Workstation 12.x →「12.5.8」で対応 Workstation 14.x →影響無し Fusion 8.x →「8.5.9」で対応 Fusion 10.x →影響なし ○Xen、Citrix ・Xen(Xen Project Spectre/Meltdown FAQ) ・Xen(Information(XSA-254)) ・Citrix Security Updates for CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 5)その他 ・JPCERT/CC JVNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃 ・JVN(脆弱性対策情報ポータルサイト) VNVU#93823979 投機的実行機能を持つ CPU に対するサイドチャネル攻撃 ・情報処理推進機構(IPA) 情報無し ・経済産業省(METI) 情報無し 6)Apple ・Meltdown及びSpectreの情報検索結果 ・About speculative execution vulnerabilities in ARM-based and Intel CPUs ・About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan Meltdown:"iOS 11.2"、"macOS 10.13.2"、"tvOS 11.2"で対応(緩和策を公開済) Spectre :ブラウザ(Safari)とWebKitについては、"macOS 10.13.2"に含まれ、 Safariのバージョンがv11.0.2(13604.4.7.1.6又は13604.4.7.10.6)となる。 尚、”macOS 10.12.6”については、更新プログラムを適用する事で、 Safariのバージョンがv11.0.2(12604.4.7.1.6)となる。 ※”Apple Watch”の影響はSpectreの脆弱性のみ 7)Firefox 最新のVer 57.0.4で対応済み ・Version 57.0.4, first offered to Release channel users on January 4, 2018 5.セキュリティパッチ適用によるデメリット ●Meltdown パッチ適用により、処理速度の低下(約5%~30%) 古いプロセッサー程、影響度が増す可能性もある ※2018/01/11 追記 ・Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems(Microsoft Secure) Microsoft Terry Myerson氏によると、性能低下について以下の通り。 1)PC系 ・第6世代(Skylake)以降とWindows10では、CPUで一桁台の性能低下。 ユーザは殆ど体感出来ないレベルの低下。 ・第3世代(Haswell)以前とWindows10では、一部のベンチマーク等で性能低下。 ユーザはその性能低下を体感する。 ・第3世代(Haswell)以前とWindows8以前のOSでは、多くのユーザがその性能低下を体感する。 2)Server系 ・Windows Serverでは、いずれのCPUの特にI/O集中型アプリケーションでは性能低下を体感する。 その為、環境(利用状況)に応じてリスクマネジメントを行い、セキュリティを取るか、処理速度を取るかを慎重に見極めて評価・判断する必要があるとの事。 →セキュリティパッチ適用した場合には、速度低下の状況を確認する為、パフォマンス情報を収集・分析する方が良さそう。 又、適用失敗等の報告や、不具合の情報もあるので検証してからの方が良い。 ・具体的不具合 パッチが当らない、一部のウイルス対策ソフトと相性が悪い、適用後の再起動でOSが 起動しない等(要継続情報収集) →障害の対応策を一部Microsoftが公開 例として以下の情報を参照 ・January 3, 2018—KB4056892 (OS Build 16299.192) →影響度を考慮し、テスト機や予備機等で適用テストを実施する方向の方が良い ●Spectre 現在のところ、処理速度の低下等の情報は無し →速度低下の影響は軽微との情報あり ※2018/01/20 追加 気になる記事を見つけました。 第2世代(Sundy)~第7世代(Kaby Lake)のCPUでMeltdownとSpectorの対策ファームウェアに更新すると、OSが再起動を繰り返す問題 ・Intel、Sandy BridgeからKaby Lakeのシステムで“再起動問題”が発生中(PC Watch) →対策済みのファームウェアで発生との事だけなので詳細は不明なのですが、またまだ挙動が怪しいですね。 私のテスト機(VK26M/B-F)もパッチの適用に失敗しますし、重要なシステムには十分テストとエラー時のリカバリ方法を準備した方が良さそうです。 6.暫定対策 セキュリティパッチの適用? →要検証及び判定等 7.根本対策 CPU(ハードウェアの交換)? →現実問題としては不可・・・ 8.今後の対応 引き続き、ハードメーカ(Intel、AMD等)やOSメーカ(Microsoft、RedHat)等からの情報収集及び、保守契約ルートからの情報収集等 ○更新履歴 2018/01/05 情報を追加 2018/01/06 AM7時頃までの情報を追加等 PM6時頃までの情報を追加等 2018/01/08 AM7時頃までの情報を追加等 2018/01/09 AM5時頃までの情報を追加等 PM10時頃までの情報を追加等 2018/01/10 PM10時頃までの情報を追加等 ・ハードメーカ(DELL、Lenovo、富士通)の情報追加 ・VMware Security Advisories(VMSA-2018-0004)の情報追加 2018/01/11 PM10時頃までの情報を追加等 ・NECの情報追加 ・性能低下についての情報を追加 2018/01/14 AM6時頃までの情報を追加等 ・VMWareの情報を追加 17時頃までの情報を追加等 ・KB4056894での不具合確認情報を追加(リンク追加) 2018/01/18 MicrosoftのAMDCPU問題の対応について追加 NECの企業向けPC(デスクトップ/ノート)の対応状況について追加 2018/01/20 ファームウェアの更新をさせるとOSの再起動を繰り返す不具合の情報を追加 2018/01/23 IntelCPUHaswell及びBroadwell()とMicrosoft(Technet)の情報を追加 2018/01/30 ・KB4078130の情報を追加(リンク追加) 2018/02/05 MeltdownとSpectorのマルウェア情報を追加 2018/02/22 Intelがマイクロコードの提供を開始した情報を追加 2018/03/04 MicrosoftがSpectre(Variant2)向けの対策パッチ(KB4090007)公開の情報を追加 以上 タグもどき:セキュリティ パッチ 脆弱性 PR